汽車(chē)電子功能安全設(shè)計(jì)與測(cè)試方法的研究

摘要：對(duì)汽車(chē)功能安全標(biāo)準(zhǔn)體系進(jìn)行了研究，闡述了電控系統(tǒng)在功能安全等級(jí)概念分析、系統(tǒng)設(shè)計(jì)測(cè)試、軟硬件設(shè)計(jì)測(cè)試各方面要求內(nèi)容。結(jié)合功能安全標(biāo)準(zhǔn)，總結(jié)了符合汽車(chē)功能安全等級(jí)的評(píng)估方法，可以覆蓋標(biāo)準(zhǔn)的各部分要求。本文網(wǎng)絡(luò)版地址：http：//www.eepw.com.cn/article/248891. htm

關(guān)鍵詞：標(biāo)準(zhǔn)體系；電控系統(tǒng)；汽車(chē)功能安全等級(jí)；評(píng)估

DOI： 10.3969/j.issn.1005-5517.2014.6.006

*天津市自然科學(xué)基金項(xiàng)目資助，合同編號(hào)13JC2DJC34200

王鐵，男，主要研究方向：汽車(chē)功能安全評(píng)估、測(cè)試、咨詢(xún)，汽車(chē)行業(yè)規(guī)劃與咨詢(xún)。

引言

電子技術(shù)集成化的快速發(fā)展及其在汽車(chē)上的大量應(yīng)用極大推動(dòng)了汽車(chē)產(chǎn)業(yè)的發(fā)展，汽車(chē)對(duì)電子技術(shù)的依賴(lài)程度越來(lái)越高的同時(shí)，汽車(chē)電子電氣產(chǎn)品所帶來(lái)的安全問(wèn)題越發(fā)重要，例如，因各種汽車(chē)電控系統(tǒng)軟硬件故障而不斷出現(xiàn)的汽車(chē)召回事件。國(guó)家政府部門(mén)、汽車(chē)整車(chē)及零部件企業(yè)和用戶(hù)越來(lái)越關(guān)注產(chǎn)品的功能安全，在這樣的背景下，迫切需要對(duì)汽車(chē)電子電氣產(chǎn)品在設(shè)計(jì)、研發(fā)、檢測(cè)試驗(yàn)和生產(chǎn)管理等諸多方面提出全新的功能安全要求，ISO26262道路車(chē)輛功能安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。

目前，道路車(chē)輛功能安全國(guó)家標(biāo)準(zhǔn)也正在轉(zhuǎn)化過(guò)程中。基于標(biāo)準(zhǔn)本身的要求，本文對(duì)汽車(chē)電子領(lǐng)域涉及到電控系統(tǒng)開(kāi)發(fā)過(guò)程中的功能安全設(shè)計(jì)、測(cè)試、安全等級(jí)評(píng)估等內(nèi)容和方法要求進(jìn)行研究，為汽車(chē)電子功能安全技術(shù)的應(yīng)用提供一些借鑒。

1 國(guó)內(nèi)外標(biāo)準(zhǔn)化介紹

1. 1 ISO26262標(biāo)準(zhǔn)發(fā)展簡(jiǎn)介

ISO26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508派生出來(lái)的，主要定位在汽車(chē)行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專(zhuān)門(mén)用于汽車(chē)領(lǐng)域的部件。

ISO26262從2005年11月起正式開(kāi)始制定，經(jīng)歷了大約6年左右的時(shí)間，已于2011年11月正式頒布，成為國(guó)際標(biāo)準(zhǔn)。

1. 2 道路車(chē)輛國(guó)標(biāo)發(fā)展簡(jiǎn)介

道路車(chē)輛功能安全標(biāo)準(zhǔn)分為10個(gè)部分：術(shù)語(yǔ)、功能安全管理、概念階段、產(chǎn)品開(kāi)發(fā)-系統(tǒng)層、產(chǎn)品開(kāi)發(fā)-硬件層、產(chǎn)品開(kāi)發(fā)-軟件層、生產(chǎn)和操作、支持過(guò)程、汽車(chē)安全完整性等級(jí)導(dǎo)向和安全導(dǎo)向分析、指南，具體架構(gòu)如圖1所示：

國(guó)標(biāo)委2012年8月正式下達(dá)了推薦性國(guó)家標(biāo)準(zhǔn)《道路車(chē)輛 功能安全》制定計(jì)劃，全國(guó)汽標(biāo)委已經(jīng)統(tǒng)籌協(xié)調(diào)開(kāi)展該系列標(biāo)準(zhǔn)的研究和制定工作。目前，國(guó)標(biāo)正在轉(zhuǎn)化過(guò)程中。

道路車(chē)輛功能安全標(biāo)準(zhǔn)涉及到汽車(chē)電子的安全性，適用的汽車(chē)企業(yè)包括整車(chē)開(kāi)發(fā)商（所有3.5噸以下客車(chē)）、安全相關(guān)的車(chē)輛電機(jī)與電子系統(tǒng)開(kāi)發(fā)商、安全相關(guān)的車(chē)輛電子零部件開(kāi)發(fā)商、安全相關(guān)的車(chē)輛電子組件開(kāi)發(fā)商；適用的人員包括車(chē)輛功能安全相關(guān)的不同項(xiàng)目人員、公司管理層、項(xiàng)目管理者、相關(guān)研發(fā)人員、相關(guān)業(yè)務(wù)人員。

2 汽車(chē)電控系統(tǒng)功能安全設(shè)計(jì)要求

道路車(chē)輛功能安全標(biāo)準(zhǔn)從開(kāi)發(fā)流程、管理方法、技術(shù)措施三個(gè)大方面提出了對(duì)汽車(chē)電控系統(tǒng)安全等級(jí)的要求。在產(chǎn)品開(kāi)發(fā)階段，ISO26262按汽車(chē)工業(yè)中常用的V型開(kāi)發(fā)流程定義相關(guān)安全活動(dòng)：V型的左側(cè)是技術(shù)安全需求（功能安全概念的技術(shù)實(shí)現(xiàn)途徑）的制定、系統(tǒng)/軟件/硬件設(shè)計(jì)；V型的右側(cè)是軟硬件測(cè)試、系統(tǒng)集成測(cè)試。

2.1 功能安全危害分析與風(fēng)險(xiǎn)評(píng)估

提出了確定功能安全等級(jí)（ASIL）的方法，安全等級(jí)范圍是A、B、C、D，其中ASIL A安全等級(jí)最低，ASIL D安全等級(jí)最高。在整車(chē)和系統(tǒng)電子設(shè)計(jì)時(shí)，需要確定所設(shè)計(jì)項(xiàng)目的范圍。基于項(xiàng)目定義，確定項(xiàng)目的安全目標(biāo)，避免不合理的風(fēng)險(xiǎn)。ASIL使用3個(gè)參數(shù)進(jìn)行評(píng)估，分別是：危險(xiǎn)對(duì)駕駛員或其他交通參與人員造成傷害的嚴(yán)重程度S，危險(xiǎn)所在工況的發(fā)生概率E，危險(xiǎn)涉及的駕駛員和其他交通參與人員及時(shí)采取控制行動(dòng)避免特定傷害的能力C。S分為0～3級(jí)，如表1所示，S0代表無(wú)傷害，S3代表危及生命的重傷或致命傷；E分為0～4級(jí)，如表2所示，E0代表工況不可能發(fā)生，E4代表工況是常見(jiàn)的；C分為0～3級(jí)，如表3所示，C0代表完全可控，C3代表非常難于控制。對(duì)于每一個(gè)識(shí)別到的危險(xiǎn)，按表4評(píng)估風(fēng)險(xiǎn)等級(jí)（即汽車(chē)安全完整性等級(jí)），其中QM表示與安全無(wú)關(guān)。

2. 2 功能安全系統(tǒng)設(shè)計(jì)

系統(tǒng)級(jí)產(chǎn)品功能安全設(shè)計(jì)要求包括產(chǎn)品開(kāi)發(fā)的啟動(dòng)、技術(shù)安全要求中的規(guī)范、系統(tǒng)設(shè)計(jì)、項(xiàng)目集成和測(cè)試、安全驗(yàn)證、功能安全評(píng)估、生產(chǎn)發(fā)布。如圖2所示。

在啟動(dòng)產(chǎn)品開(kāi)發(fā)和定義技術(shù)安全要求后，進(jìn)行系統(tǒng)設(shè)計(jì)。在系統(tǒng)設(shè)計(jì)過(guò)程中建立系統(tǒng)架構(gòu)，將技術(shù)安全要求分配給硬件和軟件，并且，如果適用，也可應(yīng)用其它技術(shù)。同時(shí)，細(xì)化技術(shù)安全要求，并添加來(lái)自系統(tǒng)架構(gòu)的要求，包括軟硬件接口的要求。根據(jù)架構(gòu)的復(fù)雜性，可以逐步得出子系統(tǒng)的需求。開(kāi)發(fā)后，集成硬件和軟件要素并測(cè)試以形成一個(gè)相關(guān)項(xiàng)，然后，將該相關(guān)項(xiàng)集成在整車(chē)上。一旦在整車(chē)層面完成了系統(tǒng)集成，進(jìn)行安全確認(rèn)以提供與安全目標(biāo)相關(guān)的功能安全證據(jù)。

2 3 功能安全軟硬件設(shè)計(jì)

如圖2所示，在系統(tǒng)功能安全設(shè)計(jì)時(shí)，需要制定軟硬件接口HIS要求，根據(jù)表4分析確定的不同功能安全等級(jí)，在進(jìn)行具體軟件和硬件設(shè)計(jì)時(shí)也要有具體要求。總體來(lái)說(shuō)，硬件功能安全設(shè)計(jì)體現(xiàn)了不同安全等級(jí)的定量要求，如表5和表6所示。硬件功能安全要求包括硬件產(chǎn)品開(kāi)發(fā)的啟動(dòng)、硬件安全規(guī)格的要求、硬件設(shè)計(jì)、硬件架構(gòu)指標(biāo)、對(duì)由于硬件隨機(jī)失效引起的違反安全目標(biāo)進(jìn)行評(píng)估、硬件集成和測(cè)試。

軟件功能安全等級(jí)的定性要求，如圖3所示。軟件功能安全要求包括軟件級(jí)產(chǎn)品開(kāi)發(fā)的啟動(dòng)、軟件安全要求的規(guī)格、軟件架構(gòu)設(shè)計(jì)、軟件單元設(shè)計(jì)與執(zhí)行、軟件單元測(cè)試、軟件集成和測(cè)試、軟件安全要求的驗(yàn)證。

3 汽車(chē)電控系統(tǒng)安全等級(jí)驗(yàn)證評(píng)估要求

汽車(chē)電控系統(tǒng)功能安全等級(jí)的驗(yàn)證評(píng)估主要從測(cè)試驗(yàn)證和文檔評(píng)審來(lái)確定。

3. 1 功能安全測(cè)試要求

功能安全測(cè)試分為軟硬件測(cè)試、系統(tǒng)集成測(cè)試、整車(chē)集成測(cè)試。

軟硬件測(cè)試主要針對(duì)軟件和硬件設(shè)計(jì)的具體單元、功能模塊進(jìn)行確認(rèn)實(shí)施，其中硬件測(cè)試主要是失效率的驗(yàn)證、功能的確認(rèn)、EMC等性能測(cè)試，軟件測(cè)試主要是單元模塊測(cè)試、不同測(cè)試方法的覆蓋。

系統(tǒng)集成測(cè)試主要是對(duì)不同安全等級(jí)對(duì)應(yīng)的安全場(chǎng)景、故障反應(yīng)時(shí)間、故障處理措施、安全狀態(tài)的確認(rèn)。

整車(chē)集成實(shí)施主要是在實(shí)車(chē)環(huán)境中依據(jù)危害分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行各種故障注入測(cè)試，確認(rèn)實(shí)車(chē)環(huán)境下各電控系統(tǒng)能夠滿(mǎn)足不同功能安全等級(jí)的要求。

3. 2 功能安全文檔要求

根據(jù)功能安全標(biāo)準(zhǔn)的要求，在功能安全管理、概念階段、產(chǎn)品系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)、生產(chǎn)發(fā)布、支持過(guò)程等環(huán)節(jié)，對(duì)應(yīng)有諸多的功能安全工作成果。對(duì)于不同電控系統(tǒng)的設(shè)計(jì)需求，可以對(duì)這些工作成果即文檔進(jìn)行功能安全裁剪。按照標(biāo)準(zhǔn)要求，對(duì)這些文檔進(jìn)行審核確認(rèn)。

3. 3 功能安全等級(jí)評(píng)估

功能安全等級(jí)評(píng)估可以分為五個(gè)階段完成：安全理念認(rèn)可、功能/基本安全試驗(yàn)、硬件安全完整性分析與測(cè)試、軟件安全性分析與測(cè)試、功能安全等級(jí)認(rèn)定。

其中，安全理念認(rèn)可包括安全管理計(jì)劃審核、驗(yàn)證與確認(rèn)計(jì)劃審核、功能/安全需求規(guī)格說(shuō)明書(shū)審核、安全相關(guān)的文檔體系評(píng)估、產(chǎn)品生產(chǎn)質(zhì)量管理文檔評(píng)估、已采用的故障避免措施評(píng)估。功能/基本安全試驗(yàn)包括安全相關(guān)的EMC試驗(yàn)、環(huán)境試驗(yàn)、化學(xué)試驗(yàn)、故障注入測(cè)試、FMEDA分析、安全相關(guān)的功能測(cè)試等；硬件安全完整性分析與測(cè)試包括危險(xiǎn)與風(fēng)險(xiǎn)分析、故障注入測(cè)試、系統(tǒng)建模與安全參數(shù)計(jì)算等。軟件安全性分析與測(cè)試包括軟件代碼安全性分析、軟件架構(gòu)安全分析、軟件測(cè)試工作完善性分析、HIL咨詢(xún)測(cè)試、項(xiàng)目開(kāi)發(fā)工具安全適用性分析。依據(jù)上述的評(píng)審，最終進(jìn)行功能安全等級(jí)的確認(rèn)。

4 小結(jié)

汽車(chē)上電子的元素越多，涉及到的安全隱患就會(huì)越大，道路車(chē)輛功能安全標(biāo)準(zhǔn)作為國(guó)際上各大整車(chē)企業(yè)和零部件企業(yè)共同推出的汽車(chē)電子安全設(shè)計(jì)開(kāi)發(fā)標(biāo)準(zhǔn)，需要國(guó)內(nèi)企業(yè)更好地去執(zhí)行。

本文基于標(biāo)準(zhǔn)的理解，對(duì)汽車(chē)電控系統(tǒng)在功能安全等級(jí)概念分析、系統(tǒng)設(shè)計(jì)測(cè)試、軟硬件設(shè)計(jì)測(cè)試各環(huán)節(jié)進(jìn)行了技術(shù)應(yīng)用方面的研究，并結(jié)合功能安全文檔和測(cè)試要求，分析整理了符合功能安全等級(jí)的評(píng)估方法，為汽車(chē)電控系統(tǒng)功能安全設(shè)計(jì)開(kāi)發(fā)提供了的一種技術(shù)應(yīng)用途徑。

參考文獻(xiàn)：

[1]ISO 26262，Road Vehicles Functional Safety—part1：vocabulary， 2011.International Organizations for Standards

[2]ISO 26262，Road Vehicles Functional Safety—part3：concept phase，2011.International Organizations for Standards

[3]ISO 26262，Road Vehicles Functional Safety—part4：product development at the system level，2011.International Organizations for Standards

[4]楊國(guó)，青厲蔣.基于ISO 26262功能安全標(biāo)準(zhǔn)的汽車(chē)電子系統(tǒng)測(cè)試方法（上）.電子產(chǎn)品世界.2013（4）

[5]楊國(guó)，青厲蔣.基于ISO 26262功能安全標(biāo)準(zhǔn)的汽車(chē)電子系統(tǒng)測(cè)試方法（中）.電子產(chǎn)品世界.2013（5）

[6]楊國(guó)，青厲蔣.基于ISO 26262功能安全標(biāo)準(zhǔn)的汽車(chē)電子系統(tǒng)測(cè)試方法（下）.電子產(chǎn)品世界.2013（6）